CVE-2025-64657 - Azure应用网关权限提升漏洞
概述
CVE-2025-64657是Azure应用网关中存在的一个堆栈缓冲区溢出漏洞,允许未经授权的攻击者通过网络提升权限。
漏洞详情
漏洞描述:Azure应用网关中的堆栈缓冲区溢出漏洞,允许未经授权的攻击者通过网络提升权限。
漏洞信息:
- 发布日期:2025年11月26日 01:16
- 最后修改:2025年11月26日 01:16
- 远程利用:否
- 信息来源:secure@microsoft.com
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Microsoft | azure_app_gateway |
总计受影响厂商:1 | 产品:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.8 | CVSS 3.1 | 严重 | - | 3.9 | 5.9 | secure@microsoft.com |
参考信息
咨询、解决方案和工具参考:
CWE - 常见弱点枚举
CVE-2025-64657与以下CWE相关联:
CWE-121:基于堆栈的缓冲区溢出
常见攻击模式枚举和分类(CAPEC)
常见攻击模式枚举和分类(CAPEC)存储了攻击模式,这些模式描述了对手利用CVE-2025-64657弱点所采用的常见属性和方法。
漏洞时间线
新CVE接收
- 接收者:secure@microsoft.com
- 日期:2025年11月26日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 标签 | exclusively-hosted-service | |
| 添加 | 描述 | Azure应用网关中的堆栈缓冲区溢出允许未经授权的攻击者通过网络提升权限 | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | |
| 添加 | CWE | CWE-121 | |
| 添加 | 参考 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64657 |
漏洞评分详情
CVSS 3.1
- 基础CVSS分数:9.8
| 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 范围 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 网络 | 低 | 无 | 无 | 未改变 | 高 | 高 | 高 |